La police fédérale canadienne a annoncé avoir inculpé le propriétaire d’un site vendant des milliards d’identifiants et de mots de passe dérobés pour des sites comme LinkedIn, Twitter ou Myspace.

Jordan Evan Bloom, âgé de 27 ans, est accusé d’avoir vendu « trois milliards de dossiers d’identité personnelle et les mots de passe qui y étaient associés », ce qui lui aurait rapporté au total près de 250 000 dollars canadiens (164 000 euros), selon un communiqué de la police.

Il a été interpellé fin décembre par la Gendarmerie royale du Canada (GRC), soit onze mois après la saisie des serveurs hébergeant le site LeakedSource par des enquêteurs. Selon la police, ces données pouvaient alors « être achetées pour une faible somme » et être utilisées pour usurper l’identité de leur propriétaire pour accéder à des services à leur place. Le site incriminé a été supprimé par les autorités au Canada mais un autre site portant le même nom hébergé sur des serveurs en Russie est toujours en ligne.

Un site critiqué par le passé

Le service fourni par le site – vérifier si un compte lié à une adresse mail que l’on possède a été piraté – n’était pas le monopole de LeakedSource. D’autres sites, comme HaveIBeenPwned et BreachAlarm, permettent également d’effectuer cette vérification. Ces derniers ne vendent cependant pas de mots de passe. Ils s’assurent, pour certains sites dits « sensibles » (sites de rencontres extraconjugales ou pornographiques), que la personne qui veut vérifier si un compte est ou non piraté en est bien le ou la propriétaire.

A l’inverse, des critiques, citées par le journaliste spécialisé en sécurité informatique Brian Krebs, dénonçaient les propriétaires de LeakedSource comme étant « uniquement intéressés par les profits financiers et par le fait d’aider les pilleurs de comptes ». Ce même expert s’était déjà interrogé en février 2017 sur la légalité de ce commerce, commencé en octobre 2015.